1. Splunk 주요 처리 구성 요소 : Indexer, Search Head, Forwarder
- Indexer : 머신 데이터를 처리하고 결과를 인덱스에 이벤트로 저장하여 빠른 검색 및 분석 가능
- Search head : 사용자가 검색언어를 사용하여 인덱싱된 데이터를 검색 가능
결과를 통합하고 이벤트에서 사용자에게 필드 값 쌍을 추출
검색 헤드의 지식 개체를 생성하여 추가필드를 추출하고 변경 없이 데이터를 변환
- Forwarder : 데이터를 사용하고 인덱스로 보내는 Splunk Enterprise 인스턴스
일반적으로 데이터가 시작된 시스템에 상주
2. 추가 Splunk 구성 요소 : Deployment Server, Cluster Master, License Master
3. Splunk Deployment
-
Standalone
: single server(테스트, 개념증명, 개인 사용 및 학습용, 기본 설정)
-
Basic
: Splunk Server, Forwarders(데이터를 수집해서 splunk 서버로 전송)
-
Multi-Instance
: 인덱싱 및 검색 용량증가, 검새관리 및 색인기능 분할
-
Increasing Capacity
: Head Cluster 추가(최소 3개의 search head 필요), Deployer는 search head의 구성원에게 앱을 관리하고 배포하는데 사용됨
-
Indes Cluster
: 기존(데이터를 복제하도록 구성, 데이터 손실 방지, 가용성, 여러 인덱서 관리)
비복제 인덱스 클러스터(간소화된 관리 제공, 가용성 및 데이터 복구를 제공하지 않음)
splunk